Анализ исходного кода

Мы предлагаем:

  • Аудит безопасности исходного кода приложений;
  • Проверка эффективности приложений, алгоритмов и технологий.

Почему мы:

  • Опыт проведения аудита для всех отраслей финансового рынка – значимых банков, операторов платежных систем, разработчиков систем безопасности, не кредитных финансовых организаций;
  • Более 50 проектов по аудиту исходного кода, в том числе по назначению судов.

Важно:

Для проведения аудита потребуется передача исходного кода. Работа на территории заказчика невозможна.

Анализ исходного кода - услуги RTM Group
Анализ исходного кода - от RTM Group
Узнать стоимость?

Эксперты по аудиту кода

Эксперт по аудиту кода Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Анализ кода программного продукта методами статического и динамического анализа проводится на этапе разработки ПО, до момента ввода готового продукта в эксплуатацию.

Варианты анализа кода

Варианты анализа кода

SAST (Static Application Security Testing) — статический анализ кода. Проверка кода на уязвимости осуществляется без запуска самого приложения. Статический анализ используется в качестве базовой проверки, этому активно применяется для соответствия руководящим документам, требованиям и стандартам в рамках оценки уязвимости приложений. Наибольшее количество сканеров исходного кода реализуют именно статический анализ исходного кода.

DAST (Dynamic Application Security Testing) — динамический анализ кода. Проверка кода на уязвимости осуществляется после запуска приложения.

IAST (Interactive Application Security Testing) — интерактивное тестирование безопасности приложений. Комбинированный вариант статического и динамического анализа приложений. Анализ происходит в режиме реального времени.

RASP (Run-time Application Security Protection) — защита безопасности приложений во время выполнения. Не совсем вариант тестирования, скорее средство безопасности.

 

Жизненный цикл безопасной разработки. Security Development Lifecycle

SDL или жизненный цикл безопасной разработки — это набор практик и отдельный процесс внутри процесса разработки программных продуктов, направленный на повышение безопасности. Применяется компаниями-разработчиками софта, как подход к разработке безопасных приложений. Включает в себя такие элементы как:

  1. обучение команды разработчиков
  2. проведение периодических тестирований кода в ходе процесса разработки
  3. подготовку отчетности по анализу кода
  4. другие действия связанные с анализом безопасности разрабатываемого программного продукта или системы

Жизненный цикл безопасной разработки

Сканеры исходного кода

Анализаторы исходного кода применяются как основной или вспомогательный инструмент (при ручном анализе кода), выявляют ошибки в исходном коде и готовом программном продукте, допущенные в процессе написания программного кода, которые могут привести к появлению уязвимостей и последующему взлому информационных систем.

Примеры сканеров кода

  • Attack Killer Appercut
  • PT Application Inspector
  • Solar appScreener
  • SafeERP Code Security
  • CheckMarx Static Code Analysis

При аудите исходного кода, особенно при анализе больших продуктов использование программных анализаторов исходного кода неизбежно, это позволяет сократить время на поиск уязвимостей. Однако это не исключается обязательный ручной или экспертный анализ кода.

 

Экспертный или ручной анализ кода

После проверки кода программного обеспечения сканером, образуется некоторое количество гипотез о его недостатках. Гипотезы должны в обязательном порядке быть проверены экспертом.

Помимо этого, эксперт должен проверить реализацию конструкций безопасности (как минимум, идентификации, аутентификации, авторизации, разграничения доступа), так как заложенная в них логика может быть реализована не оптимальным образом. Недостатки подобного рода сканерами не отслеживаются. По этой причина комбинация автоматизированного сканирования и ручного анализа дает наиболее эффективный в плане полноты и сроков результат проверки исходного кода приложения.

 

Анализ исходного кода на 25 языках

Java, PHP, Python, Groovy, TypeScript, Go, VBScript, Apex, Ruby, С#, C/C++, Objective-C, JavaScript, Scala, Perl, VB.NET, Rust, Kotlin, Swift, Visual Basic, PL/SQL, Object Pascal, Delphi, VBA, 1C

 

Анализ файлов 10 форматов

APK (Android), IPA (Apple iOS), APP (Apple macOS), JAR/WAR/EAR/AAR (Java/Scala), DLL/EXE (C/C++), бинарные файлы unix.

 

Почему эксперты RTM Group?

  1. Профиль деятельности нашей экспертной организации сосредоточен в направлении компьютерно-технической экспертизы.
  2. Наши эксперты обладают большим подтвержденным опытом проведения судебных экспертиз (сведения об опыте и подготовке обязательно указываются в информационном письме для суда).
  3. Эксперты RTM Group проходят регулярные обучения, обладают российскими и международными сертификатами по широкому перечню значимых для производства компьютерно-технической экспертизы областей знаний:
    • Сети и сетевая безопасность
    • Операционные системы
    • Прикладное программное обеспечение
    • Вредоносное ПО (признаки вредоносности)
    • Системы автоматизации бизнес-процессов (1С, SAP и пр.)
    • Системы безопасности
    • Системы автоматизации производства (АСУ ТП)
    • Отечественное регулирование в IT
    • и пр.
  4. В соответствии со статьей 41 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» судебная экспертиза может производиться не только в государственных судебно-экспертных учреждениях, но и в негосударственных. Ключевым моментом является поручение производства экспертизы лицам, обладающим специальными знаниями. Данное положение законодательства является необходимым для эффективной работы судебной системы. Дело в том, что государственные судебно-экспертные учреждения не могут выполнять весь объем и все многообразие судебных экспертиз, равно как не могут соответствовать всем профильным требованиям к подготовке экспертов и обладать необходимыми статусами и лицензиями. В частности, при назначении многих судебных КТЭ судом проверяется наличие у экспертной организации отдельных лицензий, в частности:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Наша экспертная организация обладает всеми указанными лицензиями.

 

Заказать услуги по аудиту кода

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Видео по аудиту кода

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по аудиту кода

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Аудит программного кода

от 100 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

более 50 вариантов

производимых ИТ-экспертиз

Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

В штате нашей компании

Наши отзывы по аудиту кода

Благодарность от АКБ «ЧУВАШКРЕДИТПРОМБАНК» (ПАО)
26.09.2019
АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО обратился в ООО «РТМ ТЕХНОЛОГИИ» для проведения аудита информационной безопасности и проверки соответствия текущего уровня защиты информации требованиям Положения Банка России 382-П. При всесторонней поддержке мы смогли получить максимально достоверную информацию о состоянии информационной безопасности Банка, проверить исполнение установленных в Положении 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также получить дополнительные рекомендации и достигнуть рекомендуемого уровня соответствия требованиям нормативных документов Банка России. АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО полностью удовлетворен выбором ООО «РТМ ТЕХНОЛОГИИ» в качестве поставщика услуг и благодарит компанию за проявленные компетенции и порядочность в ходе работ. Рекомендуем ООО «РТМ ТЕХНОЛОГИИ» и ее сотрудников как профессионалов своего дела, обладающих достаточным опытом для выполнения сложных проектов.
Благодарность от ООО "Алми Партнер"
01.09.2021
Уважаемый коллектив ООО «РТМ ТЕХНОЛОГИИ»! Администрация ООО «АЛМИ Партнер» выражает благодарность за оказанную помощь в проведении экспертизы программных продуктов в сравнении с конкурентами. По результатам работ эксперты ООО «РТМ ТЕХНОЛОГИИ» предоставили рекомендательный отчет о преимуществах программных продуктов ООО «АЛМИ Партнер», состоявший из 100 страниц, а также внимательно отнеслись к уточнениям и дополнениям, учли и внесли необходимые правки. Хотим выразить благодарность сотрудникам компании за оказанную услугу, высокое качество работы, оперативность и своевременную помощь по запросам. Успешная реализация проекта была бы невозможна без вашего участия. Желаем всему коллективу ООО «РТМ ТЕХНОЛОГИИ» здоровья, интересных замыслов, их благополучных воплощений и хороших клиентов. Благодарим сотрудников за профессиональный подход и рекомендуем компанию как надежного партнера! С уважением, Генеральный директор А.В. Неклюдов

Продукты и решения для вас

Нам доверяют

FAQ: Часто задаваемые вопросы